Voici les questions concernant les tests d’intrusion qui nous sont le plus fréquemment posées. Si vous souhaitez nous poser d’autres questions ou obtenir des précisions, n’hésitez pas à nous contacter.
Qu'est-ce qu'un test d'intrusion ?
Le test d’intrusion est une méthode particulièrement efficace permettant d’identifier les éventuelles failles de sécurité informatique présentes dans votre système d’information. L’auditeur va dans un premier temps identifier à l’aide de techniques et de logiciels spécialisés les vulnérabilités du système. Il tentera ensuite d’exploiter ces failles afin d’obtenir l’accès à des ressources, des données et des documents auxquels il ne devrait normalement pas avoir accès. Une fois le test terminé, l’auditeur fournit non seulement une liste des vulnérabilités trouvées et les méthodes utilisées, mais également un ensemble d’actions à mettre en œuvre afin de les corriger.
Pour en savoir plus, découvrez notre page Test d’intrusion – Pentest.
Quelle différence y a-t-il entre un audit de sécurité et un pentest ?
Un audit de sécurité se déroule généralement dans les locaux de l’entreprise, en collaboration avec les salariés, ou tout au moins l’équipe chargée de la sécurité informatique. Il s’agit plus d’un inventaire et des recommandations sont fournies à la fin de l’audit, mais sans nécessairement un engagement fort. Le test d’intrusion, pour être efficace, peut se dérouler dans les mêmes conditions qu’une cyberattaque réelle, sans que les équipes de l’entreprise visée ne soient forcément au courant. Son objectif est de mettre en échec la sécurité informatique. Un accompagnement est généralement proposé à l’issue du pentest pour la mise en œuvre concrète des actions préconisées.
Quels sont les différents types de pentest ?
On dénombre généralement dix tests d’intrusion différents :
- Social engineering / attaque ingénierie sociale ;
- Test d’intrusion site web ;
- Test d’intrusion IoT ;
- Test d’intrusion externe ;
- Test d’intrusion interne ;
- Test d’intrusion Wifi ;
- Application mobile ;
- Infrastructure Cloud ;
- Test d’intrusion applicatif ;
- Test d’intrusion téléphonie / TOIP.
Tous ces tests sont complémentaires et permettent de prendre en compte l’ensemble du périmètre de sécurité informatique de l’entreprise. Ils ne sont généralement pas réalisés en même temps et tous ne concernent pas forcément chaque entreprise (si vous n’utilisez pas d’application mobile par exemple).
Pour en savoir plus « Les types de test d’intrusion ».
Qui conduit le test d’intrusion ?
La réalisation d’un test d’intrusion nécessite un certain nombre de connaissances et de compétences techniques pointues. Le pentester a un sens de l’éthique professionnelle développé. Il va en effet être amené à identifier des failles de sécurité et potentiellement tenter d’accéder à des données confidentielles. L’auditeur est donc un expert de la cybersécurité. On l’appelle souvent « hacker éthique ». Lorsque le périmètre du test d’intrusion est relativement étendu, plusieurs pentesters travaillent alors en équipe.
Sur quel environnement vaut-il mieux conduire le pentest ?
La question peut se poser de conduire le test d’intrusion sur un environnement de préproduction plutôt que directement sur l’environnement de production. L’avantage de l’environnement de préproduction est qu’il est très proche de celui de production et que les effets du pentest ne toucheront pas les applications utilisées par vos utilisateur et/ou clients. En revanche, un test d’intrusion réalisé sur l’environnement de production permettra de simuler une cyberattaque en conditions réelles.
A quelle fréquence conduire un test d’intrusion ?
Il n’y a pas une unique réponse à cette question. Il est recommandé d’effectuer des tests d’intrusion à intervalles réguliers, si possible plusieurs fois par an, afin de prendre en compte non seulement l’évolution de votre système d’information, mais également celle des techniques et outils des hackers malveillants. Les pentests peuvent être plus espacés sur des périmètres moins sensibles. Il serait tout de même préférable d’en programmer un à chaque évolution notable des services concernés (nouvelle version, mise à jour, ajout de fonctionnalités…).
Pour en savoir plus, consultez notre page Quand et à quelle fréquence effectuer un test d’intrusion ?
Que deviennent les informations confidentielles trouvées ?
Les informations confidentielles auxquelles pourrait avoir accès le pentester grâce à l’exploitation d’une faille de sécurité identifiée ne sont bien entendu ni collectées, ni conservées. Certains éléments peuvent être utilisés (après avoir été anonymisés) afin de présenter les vulnérabilités et leurs conséquences dans le rapport à la l’issue du test d’intrusion.
Que faire après un pentest ?
Un rapport complet est remis à l’entreprise à l’issue du pentest. Il contient la liste exhaustive des failles de sécurité identifiées, les méthodes utilisées pour les détecter, et surtout les actions concrètes à mettre en œuvre pour les corriger. Un plan d’action peut être mis en place, budgétisé et planifié. Un nouveau test d’intrusion peut être prévu une fois les différentes actions terminées afin de vérifier leur efficacité.
Qui corrige les failles de sécurité identifiées ?
Le rôle du pentester est d’identifier les vulnérabilités, de les exploiter et de déterminer la meilleure façon de les corriger. La suite dépend de l’entreprise et de ses équipes. Les décideurs ont toutes les informations nécessaires après le test d’intrusion pour établir un plan d’action et mettre en route des chantiers. Ce sont donc les équipes de l’entreprise qui seront chargées de corriger les failles de sécurité identifiées.
Qu’est-ce qu’un hacker éthique ?
Le hacker est avant tout un passionné de technologies et un expert de la cybersécurité. A la différence d’un pirate informatique qui va exploiter les failles de sécurité d’un système pour en prendre le contrôle, voler des données ou les détruire, le hacker éthique utilise ses compétences à des fins bienveillantes. Il va mobiliser les mêmes connaissances, utiliser les mêmes compétences et les mêmes outils qu’un pirate informatique. La différence est qu’il le fera avec pour seul but l’amélioration de la sécurité du système d’information ciblé.
Vous pourriez également être intéressé par les articles suivants :
Comment préparer un pentest ?
L’organisation d’un pentest va permettre de mettre à l’épreuve la sécurité informatique de l’entreprise. C’est une méthode idéale pour identifier d’éventuelles failles de sécurité et
Les différences entre un Pentest Black Box, White Box, Grey Box.
Le choix de la méthodologie de test d’intrusion que nous utilisons en matière varie selon certains critères. Parmi ces critères, la cible à atteindre influence
Les types de test d’intrusion
Depuis plusieurs années, les médias relaient des informations sur des cyberattaques ayant visé des entreprises, sur les pertes occasionnées et les fuites de données. Mais
Pentest – Test d’intrusion BLUE TEAM
S’assurer de la sécurité informatique de son système d’information doit être une priorité pour toute entreprise. Le test d’intrusion, aussi nommé pentest, est un outil
Pentest – Test d’intrusion PURPLE TEAM
Toujours dans le but d’améliorer la sécurité du système d’information, le test d’intrusion Purple Team fera le lien entre les approches Red Team et Blue
Pentest – Test d’intrusion RED TEAM
Devant la recrudescence des cyberattaques visant aussi bien les sociétés privées que les structures gouvernementales, il est impératif de s’assurer que son système d’information est
Pourquoi faire un Test d’intrusion / Pentest ?
Dans le monde hyperconnecté dans lequel nous vivons, la cybersécurité doit être au cœur de la stratégie informatique de l’entreprise. La moindre intrusion dans le
Quand et à quelle fréquence effectuer un test d’intrusion ?
Quand effectuer un pentest, c’est-à-dire tester les vulnérabilités d’un système d’information ? Cette question taraude de nombreux directeurs de systèmes d’information, responsables cybersécurité, ou dirigeants